2023年江蘇省工業(yè)和信息化技術(shù)技能大賽暨全國(guó)大賽選拔賽-網(wǎng)絡(luò)與信息安全管理員S(工業(yè)互聯(lián)網(wǎng)安全)賽項(xiàng)方案、樣題

———2023年江蘇省工業(yè)和信息化技術(shù)技能大賽暨全國(guó)大賽選拔賽--網(wǎng)絡(luò)與信息安全管理員S(工業(yè)互聯(lián)網(wǎng)安全)賽項(xiàng)方案根據(jù)《江蘇省工信廳、江蘇省人社廳、江蘇省教育廳、江蘇省總工會(huì)、共青團(tuán)江蘇省委關(guān)于舉辦2023年江蘇省工業(yè)和信息化技術(shù)技能大賽暨全國(guó)大賽選拔賽的通知》要求，現(xiàn)將網(wǎng)絡(luò)與信息安全管理員S（工業(yè)互聯(lián)網(wǎng)安全）賽項(xiàng)方案明確如下：一、比賽安排（一）時(shí)間安排報(bào)名時(shí)間：10月18日18:00前正式比賽：10月22日（星期日）（二）比賽地點(diǎn)：常州信息職業(yè)技術(shù)學(xué)院（常州市武進(jìn)區(qū)科教城鳴新中路22號(hào)）。（三）賽程安排比賽時(shí)間為2天，初定安排如表1，具體以實(shí)際參賽隊(duì)伍確定后，比賽指南公布日程為準(zhǔn)。（*比賽將根據(jù)各組別報(bào)名數(shù)量情況視情設(shè)置線上選拔賽，具體以組委會(huì)通知為準(zhǔn)）表1比賽時(shí)間安排日期時(shí)間內(nèi)容地點(diǎn)*10月19日*9:00-12:00*線上選拔（理論+CTF）*線上10月21日12:00前各參賽隊(duì)報(bào)到賓館9:00-10:30專家組工作會(huì)會(huì)議室10:30-12:00裁判員培訓(xùn)會(huì)會(huì)議室14:00-14:30比賽規(guī)則、賽程介紹會(huì)議室14:30-15:00選手參觀賽場(chǎng)賽場(chǎng)15:00-18:00賽場(chǎng)封閉，預(yù)設(shè)比賽狀態(tài)賽場(chǎng)10月22日8:30-9:00開(kāi)幕式及入場(chǎng)準(zhǔn)備會(huì)議室9:00-10:00理論賽考核理論賽賽場(chǎng)10:00-12:00實(shí)操賽考核實(shí)操賽場(chǎng)12:00-13:00午餐實(shí)操賽場(chǎng)13:00-17:00實(shí)操賽考核實(shí)操賽場(chǎng)17:00-17:30評(píng)分實(shí)操賽場(chǎng)17:30-18:00比賽復(fù)盤(pán)宣布獲獎(jiǎng)名單實(shí)操賽場(chǎng)二、主辦單位及報(bào)名信息（一）主辦單位：江蘇省工信廳、江蘇省人社廳、江蘇省教育廳、江蘇省總工會(huì)、共青團(tuán)江蘇省委（二）承辦單位：常州信息職業(yè)技術(shù)學(xué)院（三）協(xié)辦單位：博智安全科技股份有限公司（四）技術(shù)支持：博智安全科技股份有限公司參賽人員請(qǐng)?zhí)顚?xiě)報(bào)名表（見(jiàn)第七部分），單位蓋章處加蓋參賽單位公章或人事部門(mén)、教務(wù)部門(mén)公章后，將蓋章件PDF掃描件連同word文件電子版發(fā)至報(bào)名郵箱，報(bào)名截止時(shí)間：10月18日。三、競(jìng)賽形式本賽項(xiàng)為三人團(tuán)體賽，分為職工組（含教師）和學(xué)生組2個(gè)組別，各單位每個(gè)組別限報(bào)2支參賽隊(duì)伍，每支參賽隊(duì)選手3人，不得跨單位組隊(duì)參賽。每人只能報(bào)名參加其中一個(gè)賽項(xiàng)的比賽。四、競(jìng)賽內(nèi)容（一）競(jìng)賽命題原則。本賽項(xiàng)按照網(wǎng)絡(luò)與信息安全管理員國(guó)家職業(yè)技能標(biāo)準(zhǔn)要求實(shí)施，同時(shí)結(jié)合現(xiàn)代企業(yè)工業(yè)互聯(lián)網(wǎng)應(yīng)用發(fā)展?fàn)顩r命題，重點(diǎn)考察參賽選手在信息、工控等方向的滲透實(shí)戰(zhàn)、防護(hù)加固技術(shù)技能水平。（二）競(jìng)賽組織方式。本賽項(xiàng)分理論考試和實(shí)踐操作兩部分。其中，理論考試占總成績(jī)的20%，實(shí)踐操作占80%。競(jìng)賽內(nèi)容包含理論知識(shí)競(jìng)賽、CTF競(jìng)賽、工控場(chǎng)景實(shí)戰(zhàn)賽和工控場(chǎng)景安全運(yùn)維賽四個(gè)部分。比賽根據(jù)賽題性質(zhì)分為兩個(gè)階段：第一階段：理論知識(shí)競(jìng)賽、CTF競(jìng)賽，理論比賽9:00-10:00開(kāi)放，理論賽在理論競(jìng)賽場(chǎng)地以個(gè)人模式進(jìn)行，競(jìng)賽開(kāi)始60分鐘后關(guān)閉理論部分內(nèi)容，請(qǐng)選手60分鐘內(nèi)完成理論賽題并交卷，理論賽題完成后即可至實(shí)操考場(chǎng)進(jìn)行準(zhǔn)備團(tuán)隊(duì)CTF答題，CTF開(kāi)放時(shí)間為10：00-12：00。第一階段競(jìng)賽總時(shí)長(zhǎng)為3小時(shí)。第二階段：工控場(chǎng)景實(shí)戰(zhàn)賽、工控場(chǎng)景安全運(yùn)維賽，競(jìng)賽過(guò)程中工控實(shí)戰(zhàn)場(chǎng)景及安全運(yùn)維場(chǎng)景同時(shí)開(kāi)啟，兩個(gè)賽項(xiàng)可自由選擇進(jìn)行同步作答，競(jìng)賽總時(shí)長(zhǎng)為4小時(shí)。表2競(jìng)賽內(nèi)容組成序號(hào)類別權(quán)重時(shí)間第一階段比賽1理論知識(shí)競(jìng)賽20%3小時(shí)2CTF競(jìng)賽30%第二階段比賽3工控場(chǎng)景實(shí)戰(zhàn)賽25%4小時(shí)4工控場(chǎng)景安全運(yùn)維賽25%總計(jì)100%7小時(shí)（三）競(jìng)賽內(nèi)容組成本次競(jìng)賽采用線下賽的模式開(kāi)展，主題為理論+CTF競(jìng)賽+工控場(chǎng)景攻防賽+工控場(chǎng)景運(yùn)維賽模式。1、理論考試主要考核參賽選手對(duì)網(wǎng)絡(luò)安全及工業(yè)互聯(lián)網(wǎng)安全相關(guān)政策法規(guī)、基礎(chǔ)知識(shí)的掌握情況以及技術(shù)應(yīng)用水平。考點(diǎn)范圍包括但不限于理解工業(yè)安全法規(guī)政策、掌握基礎(chǔ)安全知識(shí)、熟練安全技能操作等。（1）賽題類型。賽題分為三種類型：?jiǎn)雾?xiàng)選擇題、多項(xiàng)選擇題和判斷題。單選題40道，多選題30道，判斷題30道。（2）命題及考試方式。由大賽組委會(huì)組織專家組統(tǒng)一命題。參賽隊(duì)統(tǒng)一使用Chrome瀏覽器登錄競(jìng)賽平臺(tái)參加理論知識(shí)競(jìng)賽。2、CTF競(jìng)賽主要考核參賽選手的安全技術(shù)能力、工具運(yùn)用能力和安全知識(shí)范圍。CTF題目主要包含Web漏洞、密碼攻擊、安全雜項(xiàng)、逆向工程、梯形圖、工控安全等類別，選手通過(guò)解題獲得相應(yīng)題目中的flag，并提交至評(píng)分系統(tǒng)以獲得相應(yīng)的分值。（1）賽題類型。CTF奪旗賽共10道，難度等級(jí)設(shè)置為初（4道）、中（4道）、高（2道）。（2）考試方式。采用統(tǒng)一技術(shù)平臺(tái)進(jìn)行接入考試。參賽隊(duì)用分配的賬號(hào)登錄線上比賽系統(tǒng)進(jìn)行答題，每道賽題均內(nèi)置1個(gè)flag，參賽隊(duì)解題后得到flag即能獲得相應(yīng)的分?jǐn)?shù)。比賽結(jié)束前，各隊(duì)伍通過(guò)平臺(tái)完成整體解題報(bào)告提交，經(jīng)組委會(huì)審核后，確定各參賽隊(duì)最終得分。競(jìng)賽采取嚴(yán)格的作弊審查制度，未提交完整解題報(bào)告或發(fā)現(xiàn)作弊行為的，取消比賽成績(jī)。3、工控場(chǎng)景實(shí)戰(zhàn)賽通過(guò)構(gòu)建虛實(shí)結(jié)合典型工業(yè)綜+合場(chǎng)景，并設(shè)置攻防任務(wù)點(diǎn)，考核選手在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域知識(shí)和技能應(yīng)用水平，包括但不限于智能制造及工控安全等應(yīng)用方向，以及相關(guān)工業(yè)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景安全實(shí)操技能。考察點(diǎn)包括：信息收集能力、應(yīng)用漏洞利用能力、系統(tǒng)漏洞利用能力、Web漏洞利用能力、網(wǎng)站后臺(tái)掃描、文件上傳漏洞、SQL注入、暴力破解、權(quán)限維持、密碼安全、工控梯形圖分析、工業(yè)協(xié)議流量分析、PLC編程、協(xié)議篡改、組態(tài)控制等。（1）賽題類型。工控場(chǎng)景實(shí)戰(zhàn)賽含有不少于5個(gè)IT+OT賽題；設(shè)定任務(wù)說(shuō)明，所有參賽團(tuán)隊(duì)成員進(jìn)行攻擊目標(biāo)服務(wù)或主機(jī)獲取系統(tǒng)權(quán)限，在主機(jī)內(nèi)存在的flag值，獲取flag值后進(jìn)行提交至競(jìng)賽平臺(tái)。對(duì)場(chǎng)景內(nèi)網(wǎng)若有生產(chǎn)控制區(qū)PLC系統(tǒng)場(chǎng)景和工控邏輯分析場(chǎng)景進(jìn)行攻擊，須達(dá)到題目說(shuō)明的指定效果進(jìn)行舉手后根據(jù)過(guò)程與裁判進(jìn)行復(fù)現(xiàn)過(guò)程得分。參賽選手每成功完成一個(gè)賽題后獲得該點(diǎn)分值，未完成攻擊不得分。難度等級(jí)設(shè)置為初（2道）、中（2道）、高（1道）。（2）考試方式。競(jìng)賽需要參賽隊(duì)在大賽主辦方提供的競(jìng)賽平臺(tái)上完成。每個(gè)隊(duì)伍分配一套相同的賽題環(huán)境，進(jìn)行安全分析，比賽結(jié)束時(shí)，需提交每道賽題詳細(xì)的解題報(bào)告（WriteUp），經(jīng)組委會(huì)審核后，確定各參賽隊(duì)最終得分。4、工控場(chǎng)景安全運(yùn)維賽通過(guò)構(gòu)建純虛擬化或虛實(shí)結(jié)合典型工業(yè)綜合場(chǎng)景，考核選手在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域知識(shí)和技能應(yīng)用水平，包括但不限于自動(dòng)化、智能制造、工控安全等應(yīng)用方向，以及相關(guān)工業(yè)互聯(lián)網(wǎng)應(yīng)用場(chǎng)景安全實(shí)操技能?？疾禳c(diǎn)包括：網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì)、業(yè)務(wù)安全加固實(shí)施、業(yè)務(wù)安全評(píng)估評(píng)測(cè)、安全事件應(yīng)急處置、安全事件分析研判等。（1）賽題類型。虛擬場(chǎng)景實(shí)戰(zhàn)賽含有5個(gè)安全任務(wù)；參賽選手每成功完成一個(gè)任務(wù)后上傳證明附件，裁判根據(jù)要求判定正確后得分。難度等級(jí)設(shè)置為初（2道）、中（2道）、高（1道）。（2）考試方式。競(jìng)賽需要參賽團(tuán)隊(duì)在大賽主辦方提供的競(jìng)賽平臺(tái)內(nèi)完成，每個(gè)隊(duì)伍分配一套獨(dú)立內(nèi)容相同的綜合場(chǎng)景，根據(jù)任務(wù)說(shuō)明進(jìn)行答題，存在的flag值內(nèi)容的，獲取flag值后進(jìn)行提交至競(jìng)賽平臺(tái)。對(duì)場(chǎng)景內(nèi)需進(jìn)行安全故障恢復(fù)、運(yùn)行配置操作的，須達(dá)到題目說(shuō)明的指定效果后，舉手根據(jù)過(guò)程與裁判進(jìn)行復(fù)現(xiàn)過(guò)程得分。比賽結(jié)束前需提交賽題詳細(xì)的解題報(bào)告（WriteUp），經(jīng)組委會(huì)審核后，確定各參賽隊(duì)最終得分。五、評(píng)分細(xì)則依據(jù)參賽選手完成的情況實(shí)施綜合評(píng)定。評(píng)定依據(jù)2023年全國(guó)工業(yè)和信息化技術(shù)技能大賽——網(wǎng)絡(luò)與信息安全管理員S（工業(yè)互聯(lián)網(wǎng)安全）賽項(xiàng)競(jìng)賽技術(shù)方案中明確的技術(shù)規(guī)范，按照技能大賽技術(shù)裁判組制定的考核標(biāo)準(zhǔn)進(jìn)行評(píng)分，全面評(píng)價(jià)參賽選手職業(yè)能力的要求?？偝煽?jī)組成理論賽題占比為20%，實(shí)操成績(jī)占比80%（CTF競(jìng)賽30%、工控場(chǎng)景攻防賽25%、工控場(chǎng)景運(yùn)維賽25%）?？偝煽?jī)?yōu)榱丝陀^與直觀展示，整體成績(jī)?cè)O(shè)定為1000分，具體內(nèi)容如下。1.理論知識(shí)部分評(píng)分理論知識(shí)部分總分200分，共100題，單選題40題，每題2分；多選題30題，每題3分；判斷題30題，每道1分。賽題由系統(tǒng)自動(dòng)評(píng)分。2.CTF競(jìng)賽部分評(píng)分CTF競(jìng)賽部分總分300分，共10題，初級(jí)共4題30分/道，中級(jí)共4題40分/道，高級(jí)共2題60分/道。由系統(tǒng)評(píng)分和人工評(píng)分相結(jié)合。每道題目解出正確答案的第1/2/3名隊(duì)伍，會(huì)分別額外獲得當(dāng)前題目分值的10%/5%/2%加成。3.工控場(chǎng)景實(shí)戰(zhàn)賽評(píng)分工控場(chǎng)景實(shí)戰(zhàn)賽總分250分，共5題，初級(jí)2題40分/道，中級(jí)2題50分/道，高級(jí)1題70分/道。由系統(tǒng)評(píng)分和人工評(píng)分相結(jié)合。設(shè)定flag的賽題每道題目解出正確答案的第1/2/3名隊(duì)伍，會(huì)分別額外獲得當(dāng)前題目分值的10%/5%/2%加成。4.實(shí)體場(chǎng)景安全運(yùn)維賽評(píng)分工控場(chǎng)景安全運(yùn)維賽總分250分，共5題，初級(jí)2題40分/道，中級(jí)2題50分/道，高級(jí)1題70分/道。由系統(tǒng)評(píng)分和人工評(píng)分相結(jié)合。競(jìng)賽排名按積分進(jìn)行排序，積分相同的，則按積分達(dá)到時(shí)間的先后進(jìn)行排序。六、比賽獎(jiǎng)勵(lì)比賽設(shè)團(tuán)隊(duì)獎(jiǎng)，按各組別分別設(shè)一等獎(jiǎng)1名、二等獎(jiǎng)2名、三等獎(jiǎng)3名。獲獎(jiǎng)單位及個(gè)人獲得相應(yīng)的證書(shū)。（組委會(huì)將根據(jù)各組別參賽隊(duì)伍數(shù)量視情增加獎(jiǎng)項(xiàng)數(shù)量）。七、其他說(shuō)明（一）比賽技術(shù)文件及賽事樣題等請(qǐng)登陸全國(guó)工業(yè)和信息化技術(shù)技能大賽官網(wǎng)下載，網(wǎng)址：（/plus/view.php?aid=2354）參考樣題見(jiàn)本方案附件。（二）競(jìng)賽報(bào)名表2023年江蘇省工業(yè)和信息化技術(shù)技能大賽暨全國(guó)大賽選拔賽報(bào)名表網(wǎng)絡(luò)與信息安全管理員S(工業(yè)互聯(lián)網(wǎng)安全)賽項(xiàng)單位名稱組別□職工組□學(xué)生組單位地址聯(lián)系人電子郵箱電話領(lǐng)隊(duì)信息電子照片姓名性別民族手機(jī)職務(wù)身份證號(hào)選手1（隊(duì)長(zhǎng)）信息電子照片姓名性別民族手機(jī)職務(wù)身份證號(hào)選手2信息電子照片姓名性別民族手機(jī)職務(wù)身份證號(hào)選手3信息電子照片姓名性別民族手機(jī)職務(wù)身份證號(hào)參賽單位推薦意見(jiàn)：?jiǎn)挝簧w章2023年月日備注：?jiǎn)挝簧w章處請(qǐng)加蓋參賽單位公章或人事部門(mén)、教務(wù)部門(mén)公章。報(bào)名表電子檔word版及蓋章件PDF版請(qǐng)?jiān)趫?bào)名截止時(shí)間：10月18日，發(fā)至郵箱：455523131@。附件典型參考樣例一、理論考題樣例為了保障網(wǎng)絡(luò)運(yùn)行穩(wěn)定、防止網(wǎng)絡(luò)數(shù)據(jù)泄露及進(jìn)行日志安全分析，在網(wǎng)絡(luò)內(nèi)部的監(jiān)測(cè)日志、運(yùn)行日志等一般留存時(shí)間不小于（C）。A、3個(gè)月B、4個(gè)月C、6個(gè)月D、12個(gè)月二、CTF實(shí)操賽題樣例任務(wù)說(shuō)明：流量包為S7comm協(xié)議通信數(shù)據(jù)，流量中存在一條異常寫(xiě)入的數(shù)據(jù)，請(qǐng)嘗試找出異常流量的ascii數(shù)據(jù)流，ascii數(shù)據(jù)流即為flag。解題過(guò)程：使用wireshark打開(kāi)數(shù)據(jù)包流量，過(guò)濾s7協(xié)議信息。在顯示過(guò)濾器輸入s7comm，并分析通信IP。通信IP為32與45。PLC地址為132。使用過(guò)濾規(guī)則：s7comm.param.func==0x05&&ip.src==45過(guò)濾出全部的write數(shù)據(jù)。觀察write數(shù)據(jù)包的data部分，可發(fā)現(xiàn)data開(kāi)頭全部為ffff。尋找是否存在異常數(shù)據(jù)。通過(guò)過(guò)濾規(guī)則：s7comm.resp.data[0:2]!=ff:ff可定位異常數(shù)據(jù)，找到flag{ffad28a0ce69db34751f}三、工控場(chǎng)景實(shí)戰(zhàn)樣例系統(tǒng)主要模擬石化企業(yè)通用網(wǎng)絡(luò)安全環(huán)境，仿真構(gòu)造石化系統(tǒng)網(wǎng)信息層、運(yùn)維管理層、工業(yè)控制層三層網(wǎng)絡(luò)結(jié)構(gòu)，如圖所示：信息層網(wǎng)絡(luò)包含CRM及門(mén)戶網(wǎng)站系統(tǒng)，運(yùn)維管理層仿真模擬OA辦公系統(tǒng)，工業(yè)控制層包含操作員站、PLC控制器為西門(mén)子S7-1200PLC通過(guò)控制器控制廢液傳輸、加熱、攪拌、冷卻等工藝流程。該場(chǎng)景重點(diǎn)考察選手對(duì)典型工業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的掌握、對(duì)系統(tǒng)進(jìn)行攻防滲透的技能、以及對(duì)西門(mén)子PLC通信協(xié)議的掌握和基于整體工業(yè)系統(tǒng)的攻擊技巧。靶場(chǎng)拓?fù)浣Y(jié)構(gòu)及攻擊示意如圖所示：外網(wǎng)映射層門(mén)戶網(wǎng)站CRM運(yùn)維管理層OA業(yè)務(wù)辦公層上位機(jī)現(xiàn)場(chǎng)層廢液處理HMIS7-1200PLC固件版本V4.2原料電磁閥為開(kāi)啟狀態(tài)原料泵為關(guān)閉狀態(tài)攻擊步驟介紹：門(mén)戶網(wǎng)站W(wǎng)EB和CRM系統(tǒng)以端口映射方式對(duì)外開(kāi)放，黑客可以通過(guò)弱口令或者redis未授權(quán)漏洞拿到CRM服務(wù)器權(quán)限,或者利用官網(wǎng)漏洞使用sql注入上傳木馬getshell進(jìn)入內(nèi)網(wǎng)。根據(jù)官網(wǎng)/CRM權(quán)限進(jìn)行代理,攻擊內(nèi)網(wǎng)運(yùn)維管理層主機(jī)OA,利用泛微OA命令執(zhí)行獲取主機(jī)權(quán)限或者進(jìn)入運(yùn)維管理層,在同網(wǎng)段還存在CRM,可以通過(guò)web攻擊或者redis弱口令寫(xiě)文件拿下主機(jī)權(quán)限。根據(jù)OA主機(jī)權(quán)限進(jìn)行代理,攻擊業(yè)務(wù)辦公層,里面包含上位機(jī)操作系統(tǒng)弱口令、ms17010等風(fēng)險(xiǎn)漏洞,通過(guò)兩個(gè)漏洞風(fēng)險(xiǎn)可直接獲取系統(tǒng)權(quán)限進(jìn)行控制執(zhí)行。廢液處理控制器版本信息獲取，廢液處理系統(tǒng)的控制器版本采用端口探測(cè)找到控制器IP地址，使用S7或S7+協(xié)議與控制前建立連接，通過(guò)解讀PLC的應(yīng)答數(shù)據(jù)包便可獲取到控制器的版本信息。廢液處理系統(tǒng)使用的PLC為S7-1200，請(qǐng)進(jìn)行攻擊修改運(yùn)行狀態(tài)。當(dāng)前原料泵和原料泵電磁閥為停止?fàn)顟B(tài)，通過(guò)攻擊，請(qǐng)將原料泵和原料泵電磁閥置為啟動(dòng)，從而出現(xiàn)原料罐的水被抽入加熱罐。（電磁閥與泵可以同時(shí)開(kāi)，也可以電磁閥先開(kāi)，但是不能先開(kāi)泵，關(guān)閉時(shí)候，相反，泵先關(guān)或是與電磁閥同時(shí)關(guān)）。通過(guò)合適版本的上位機(jī)軟件與控制器建立連接，獲取到PLC中的程序，基于對(duì)程序的理解，操作軟件，對(duì)確定的點(diǎn)為進(jìn)行精確控制/攻擊，以此達(dá)到指定效果?，F(xiàn)象說(shuō)明外網(wǎng)映射層:利用命令執(zhí)行或者sql注入,上傳木馬并連接運(yùn)維管理層:利用外網(wǎng)映射層進(jìn)行代理,入侵OA,利用管理平臺(tái)漏洞利用獲取系統(tǒng)權(quán)限。業(yè)務(wù)辦公層:利用運(yùn)維管理層進(jìn)行代理,入侵上位機(jī)操作系統(tǒng),通過(guò)RCE漏洞/弱口令拿下服務(wù)器?，F(xiàn)場(chǎng)層：當(dāng)前原料電磁閥為關(guān)閉狀態(tài)，原料泵為關(guān)閉狀態(tài)，通過(guò)攻擊，請(qǐng)將原料電磁閥置為開(kāi)啟狀態(tài)，將原料泵置為開(kāi)啟狀態(tài)。4、工控場(chǎng)景安全運(yùn)維樣例：電力監(jiān)控場(chǎng)景電力監(jiān)控場(chǎng)景工控流量分析（初級(jí)）1Web應(yīng)用溯源取證（初級(jí)）1控制機(jī)系統(tǒng)狀態(tài)恢復(fù)（中級(jí)）2工業(yè)控制系統(tǒng)故障恢復(fù)（高級(jí)）1任務(wù)1：工控流量分析（初級(jí)）題目類型:協(xié)議分析題目答案：題目描述：通過(guò)參考已提供的附件（OMRON協(xié)議），分析工業(yè)協(xié)議中請(qǐng)求內(nèi)容為（46494e530000001c0000000200000000800002000a0000fb005501028200640000010010），flag即為響應(yīng)數(shù)據(jù)。提交格式：flag{xxx}。解題思路:1、從給出的協(xié)議數(shù)據(jù)進(jìn)行分析發(fā)現(xiàn)是歐姆龍的fins協(xié)議；2、協(xié)議內(nèi)容中的功能碼0x0102知道這是內(nèi)存寫(xiě)入的數(shù)據(jù)包；3、并通過(guò)0x23判斷是想DM區(qū)寫(xiě)值；4、參考提供的pcap包中write類型數(shù)據(jù)響應(yīng)包的結(jié)構(gòu)。5、根據(jù)以上信息，構(gòu)造響應(yīng)報(bào)文為：46494e53000000160000000200000000c0000200fb00000a005501020000；6、即為flag{46494e53000000160000000200000000c0000200fb00000a005501020000}任務(wù)2：Web應(yīng)用溯源取證（初級(jí)）題目信息經(jīng)排查,某監(jiān)控平臺(tái)因?yàn)榘姹咎痛嬖诖罅柯┒矗粣阂夤粽咴谄脚_(tái)注入了惡意代碼并且修改了后臺(tái)登陸密碼，找出網(wǎng)站后門(mén)文件及反彈shell信息，flag提交格式：flag{filename}題目flag:flag{CControllerProxy.php}解題步驟根據(jù)題目提示為web系統(tǒng)遭受攻擊，查詢后門(mén)文件進(jìn)入系統(tǒng)，壓縮web源代碼，下載至本地使用D盾查殺webshell文件發(fā)現(xiàn)后門(mén)文件CControllerProxy.php任務(wù)3：控制機(jī)系統(tǒng)溯源取證（中級(jí)）題目信息電力上位機(jī)系統(tǒng)被攻擊，操作系統(tǒng)存在后門(mén)賬戶，即使管理員多次刪除后會(huì)重新創(chuàng)建，請(qǐng)?zhí)峤缓箝T(mén)程序文件名稱，和后門(mén)創(chuàng)建的密碼信息，flag提交格式：flag{filename:password}解題步驟打開(kāi)ProcessExplorer，查看正在運(yùn)行的程序，